APT-ის გავრცელებული საფრთხეები: როგორ ესხმოდნენ თავს ჰაკერები მომხმარებლებს მთელ მსოფლიოში ბოლო ექვსი თვის განმავლობაში

ESET-ის მკვლევარებმა აღმოაჩინეს MirrorFace ჯგუფის სამიზნეების რაოდენობის შესამჩნევი ზრდა ჩინეთთან არის დაკავშირებული.როგორც წესი, იაპონურ ორგანიზაციებზე ორიენტირებულმა კიბერკრიმინალებმა, ამჯერად თავიანთ მიზნებს ევროკავშირის დიპლომატიური ორგანიზაციაც დაამატეს. გარდა ამისა, ჩინეთთან დაკავშირებული APT ჯგუფები სულ უფრო მეტად იყენებდნენ ღია კოდის მულტიპლატფორმულ SoftEther VPN- ს მსხვერპლთა ქსელებზე წვდომის მხარდასაჭერად.

ამავე დროს, ირანთან დაკავშირებულ ჯგუფებს შეეძლოთ მუქარის გამოყენებადიპლომატიური ჯაშუშობისთვის. ამ ჯგუფებმა კომპრომეტირება მოახდინეს აფრიკაში ფინანსური მომსახურების რამდენიმე კომპანიაში და განახორციელეს კიბერჯაშუშური აქტივობები მეზობელი ქვეყნების ერაყისა და აზერბაიჯანის წინააღმდეგ. გარდა ამისა, ირანთან დაკავშირებული ჯგუფების სამიზნე იყო საფრანგეთის დიპლომატიური წარმომადგენლები და საგანმანათლებლო ორგანიზაციები შეერთებულ შტატებში.

ჩრდილოეთ კორეასთან დაკავშირებული ჯგუფები განაგრძობდნენ თავდაცხმას ევროპისა და აშშ-ისთავდაცვისა და საჰაერო კოსმოსურ კომპანიებზე. ასევე მიზნად ისახავდნენ კრიპტოვალუტის დეველოპერებს, ანალიტიკურ ცენტრებსა და არასამთავრობო ორგანიზაციებს. ერთ-ერთმა ასეთმა ჯგუფმა, Kimsuky, დაიწყო Microsoft Management Console ფაილების გამოყენება, რომლებსაც იყენებენ სისტემის ადმინისტრატორები და შეუძლიათ Windows-ის ნებისმიერი ბრძანების გაშვება. გარდა ამისა, რამდენიმე სხვა ჯგუფი ხშირად ბოროტად იყენებდა პოპულარულ ღრუბლოვან სერვისებს, კერძოდ, Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub და Bitbucket. ასევე, პირველად დაფიქსირდა Zoho ღრუბლოვანი სერვისების უნებართვო გამოყენება APT ჯგუფის მიერ, სახელწოდებით ScarCruft.

რუსეთთან დაკავშირებული კიბერდამნაშავეების ჯგუფები ხშირად ახდენენ შეტევებს ვებ-ფოსტის სერვერებზე, როგორიცაა Roundcube და Zimbra, როგორც წესი, ფიშინგის ელ.წერილებით, რომლებიც იწვევს ცნობილ XSS დაუცველობას. Sednit ჯგუფის გარდა, რომელიც მიზნად ისახავდა მთავრობას და თავდაცვასთან დაკავშირებულ ორგანიზაციებს მთელს მსოფლიოში, ESET-ის მკვლევარებმა აღმოაჩინეს GreenCube-ის კიდევ ერთი ჯგუფი, რომელიც იპარავდა ელ.წერილებს XSS მოწყვლადობის მეშვეობით Roundcube-ში. რუსეთთან დაკავშირებული სხვა კიბერკრიმინალები აგრძელებდნენ უკრაინაზე ფოკუსირებას და Gamaredon ჯგუფმა წამოიწყო დიდი ფიშინგ-კამპანიები, ასევე Telegram-ისა და Signal-ის აპების უნებართვო გამოყენება.

ESET-ის მკვლევარებმა შენიშნეს, რომ აზიის ქვეყნებში კიბერკრიმინალური თავდასხმები ძირითადად მიმართული იყო სამთავრობო ორგანიზაციების მიმართ, ასევე იყო კონცენტრირებული განათლების ინდუსტრიაზე. ჩრდილოეთ კორეასთან დაკავშირებული Lazarus ჯგუფი აგრძელებდა თავდასხმებს ფინანსურ და ტექნოლოგიურ კომპანიებზე მთელ მსოფლიოში. ახლო აღმოსავლეთში, ირანთან დაკავშირებული APT-ების რამდენიმე ჯგუფმა განაგრძო თავდასხმა სამთავრობო ორგანიზაციებზე, ისრაელი ყველაზე მეტად დაზარალდა თავდამსხმელებისგან.

APT ჯგუფების თავდასხმების საწინააღმდეგოდ, კომპანიებისთვის მნიშვნელოვანია მაქსიმალური დაცვა უსაფრთხოების კომპლექსური მიდგომით, კერძოდ, უზრუნველყონ მოწყობილობების მძლავრი დაცვა გაფართოებული საფრთხის აღმოჩენა და რეაგირება, გაფართოებული ანალიზი ღრუბელში და მონაცემთა დაშიფრვა, ასევე გააცნობიერონ შესაძლო თავდასხმის ვექტორები და კონკრეტული ჯგუფების საქმიანობის თავისებურებები, რომლებიც ხელმისაწვდომია APT საფრთხეების შესახებ ანგარიშებში.

ESET-ის მკვლევარები ამზადებენ დეტალურ ტექნიკურ ინფორმაციას, მუდმივად აახლებენ მონაცემებს კონკრეტული APT ჯგუფების საქმიანობის შესახებ, გაფართოებული ანგარიშების სახით, რათა დაეხმარონ შესაბამის ორგანიზაციებს მომხმარებლების, კრიტიკული ინფრასტრუქტურისა და სხვა მნიშვნელოვანი აქტივების დაცვაში მიზნობრივი კიბერშეტევებისგან. ESET-ის Threat Intelligence სერვისის ფარგლებში წარმოდგენილი APT-ის გაფართოებული ანგარიშების შესახებ დამატებითი ინფორმაცია შეგიძლიათ იხილოთ ბმულზე.

APT ჯგუფების საქმიანობის შესახებ იხილეთ ESET-ის სრული ანგარიში.